Den Haag laat hackers weer meekijken

Tijdens het comeback-event van Hâck The Haag werd op verzoek operationele technologie (OT) gehackt, zoals verkeerslichten en camera’s. Hackers hebben verschillende kwetsbaarheden gevonden met verschillende beveiligingsrisico’s.

Ook deze editie wendde de koningsstad zich opnieuw tot eerlijke hackers om kwetsbaarheden in gemeentelijke systemen op te sporen. Zes uur lang gingen de veertig hackers in de hal van het gemeentehuis aan de slag met de operationele techniek (OT) van de gemeente Den Haag. OT betekent IT bedoeld voor buitenruimtes. Zo testten hackers onder meer verkeerslichten, laadpalen, een testfaciliteit voor een mobiele brug, de installatie van een pompstation en camera’s. Ook werden de laptops uitgelezen, werden de camera’s geopend en werd bijvoorbeeld gecontroleerd of de Koningstunnel via een testsimulator bereikbaar was.

Dit was de zesde editie van Hâck Den Haag. De stad nodigt hierbij professionele hackers en studenten uit voor de hackwedstrijd. Het idee achter de hack is dat de gemeente zichzelf kwetsbaar maakt om zo minder kwetsbaar te worden.

Kennis van zwakke punten

Terwijl eerdere edities zich richtten op kwetsbaarheden in IT-systemen, ging het dit jaar over het opsporen van kwetsbaarheden in operationele technologie en gerelateerde hardware. Denk bijvoorbeeld aan laadpalen voor elektrische auto’s, verkeersregelsystemen en cameramanagementsysteem.

Juist deze operationele technologie wordt qua veiligheid steeds belangrijker, aldus Jeroen Schipper, CISO van de gemeente Den Haag. ‘De vandaag geteste systemen en apparaten zijn ook toegankelijk voor kwaadwillenden. Bij Hâck Den Haag proberen we op een veilige en gecontroleerde manier mogelijke zwakke punten te achterhalen om deze op te lossen. Dit vergroot niet alleen onze veiligheid, maar ook die van alle andere gebruikers over de hele wereld.”

Schipper legde eerder aan Gemeente.nu uit wat de meerwaarde van zo’n evenement is, wat de do’s en don’ts zijn en wat de belangrijke randvoorwaarden zijn. Het evenement resulteerde ook in een digitale publicatie die alle gemeenten kunnen gebruiken om computersystemen te beveiligen.

Produceren

Na het hackincident kwamen er verschillende unieke kwetsbaarheidsrapporten naar voren. Drie van hen leverden de hackers een geldprijs op. De eerste prijs ging naar hackers die erin slaagden iets aan te passen op een webportaal, een risicovolle vondst. De tweede prijs ging naar een rapport met een hoog risico, waarbij slechte netwerksegmentatie een groot aanvalsoppervlak creëerde. En de derde prijs ging naar een vondst met een gemiddeld dreigingsniveau. Een onjuiste invoer kan ervoor zorgen dat de portal mislukt.

Twee ontdekkingen van hackers kregen een eervolle vermelding. De eerste betrof een kwetsbaarheid met een laag risico, met een concrete en haalbare suggestie om het systeem te verbeteren. De tweede eervolle vermelding kende een middelmatige bedreiging en hield verband met een mogelijke financiële impact.

Meer hackprojecten

Andere gemeenten hebben soortgelijke projecten al gelanceerd of zullen dit binnenkort doen. Zo organiseert de gemeente Groningen binnenkort Hack050. Hier strijden Groningse studenten en ethische hackers om de beste hack. Het doel is om de kwetsbaarheden in de digitale omgeving van de gemeente Groningen aan te tonen. Enige tijd geleden heeft de gemeente Amsterdam ook ethische hackers gevraagd om tekortkomingen in het gemeentelijke informatiesysteem op te sporen en te melden. De stad heeft hiervoor een online meldpunt geopend.

De provincie Gelderland organiseerde een cyberchallenge waarbij gemeenten in de provincie worden gehackt. Zo hebben gemeenten in Gelderland een basismeting gekregen van hun cybersecurity en zijn dreigingen in kaart gebracht.

Gelabeld met: beveiliging Geplaatst in: Cybersecurity, Beveiliging